2001年4月1日に「電子署名及び認証業務に関する法律」が施行される。電子署名とは、紙ベースではなく電子的手段で記録された“電磁的記録”情報の作成者を示す目的で行なう暗号化などの措置のことをいう。簡単にいえば、紙ベースの印鑑やサインの役割りを代行しようというものだ。
電子署名は作成者を証明する目的に利用されるので、紙ベースの印鑑やサインと同様に、安易に暗号解読や改変ができてない安全性が必須だ。また、改変が行なわれたかどうかの検証もできなければならない。電子署名に求められているのは、利用者がどこの誰であるかを証明できる、“真正”(本物)の成立なのだ。
認証事業者に求められるセキュリティは、企業にも当てはまる
では、誰が利用者が本物だと証明してくれるのだろうか? そこで、Webサイトの証明書を発行してくれる認証事業者があるように、電子署名にも認証業務を行なう事業者が必要となってくる。この法律では、電子署名の認証を行なう事業者は、総務大臣や法務大臣、経済産業大臣(以下、主務大臣)の認定を受けることが可能だ。事業者が認定を受けるか受けないかは任意でよいことになっているが、電子署名の信頼度という点からすれば認定を受けている事業者が発行した証明書かどうかも信頼度の測る目安のひとつになるだろう。
郵政省、通商産業省、法務省では、この法律の施行に基づく関係政省令に盛り込む事項の案を公開し、意見を募集している。そこからわかった利用者確認の方法や暗号レベル、認定事業者に求められている内容を解き明かしてみよう。
また、ここに書いた認証事業者に求められてるセキュリティ項目をそれぞれの企業に当てはめて検証してみれば、企業のセキュリティ機能をチェックできる。現状のセキュリティでどこが甘いのか、どこを強化すべきか、その指針を見つけられたらしめたものだ。
